1. Objectif de la politique

LuxpowerTek s'engage à fournir des produits et services sûrs et fiables à ses clients du monde entier. Nous encourageons les chercheurs en sécurité, nos partenaires et nos clients à signaler les vulnérabilités potentielles via pratiques de divulgation responsables, nous permettant de traiter et d’atténuer rapidement les risques.

2. Processus de reporting

Pour soumettre un rapport de vulnérabilité, veuillez utiliser les canaux suivants :

Courriel

security@luxpowertek.com (Cryptage PGP recommandé)

Formulaire en ligne/Portail de sécurité

Les détails de tout portail de sécurité dédié seront annoncés séparément

Veuillez inclure les informations suivantes dans votre rapport :

  • Modèle de produit et version du micrologiciel/logiciel concernés
  • Description détaillée de la vulnérabilité et étapes de reproduction (ou preuve de concept)
  • Analyse de l'impact potentiel
  • Coordonnées pour la communication de suivi

CONSEILS:

Afin de garantir une divulgation responsable, veuillez vous abstenir de divulguer publiquement la vulnérabilité jusqu'à ce qu'un correctif officiel soit publié.

3. Portée des tests de sécurité et limites de conformité

Activités de test autorisées

  • Test des appareils locaux
  • Analyse de la communication réseau
  • Configuration et validation des autorisations

Activités interdites❌

  • Accès non autorisé ou vol de données utilisateur
  • Exploitation de vulnérabilités entraînant une interruption ou des dommages au service
  • Analyse à grande échelle ou attaques par déni de service ciblant les environnements de production

4. Processus et calendrier de réponse aux vulnérabilités

LuxpowerTek adhère aux meilleures pratiques internationales et a établi un processus de réponse standardisé pour gérer les vulnérabilités :

  1. Reconnaissance:Dans les 5 jours ouvrables suivant la réception d’un rapport, nous confirmerons sa réception.
  2. Validation et évaluation:Notre équipe de sécurité validera la vulnérabilité et évaluera son niveau de risque à l'aide de la norme CVSS v3.1.
  3. Plan de remédiation:En fonction de la gravité, nous élaborerons un plan de correction ou d’atténuation.
  4. Communication:Nous resterons en contact avec le journaliste tout au long du processus, en demandant des informations supplémentaires si nécessaire.
  5. Divulgation publique osure:Une fois le problème résolu, un avis de vulnérabilité sera publié dans notre bulletin de sécurité, avec un accusé de réception au chercheur si son consentement est donné.

Le délai typique de résolution et de divulgation est le suivant : 90–120 jours, avec des vulnérabilités critiques priorisées pour un traitement accéléré.

5. Classification de la gravité de la vulnérabilité

Les vulnérabilités sont classées selon la norme CVSS v3.1 comme suit :

Faible (0,1–3,9)

Impact minimal, résolu dans les itérations ultérieures.

Moyen (4,0–6,9)

Impact limité, traité dans les mises à jour logicielles de routine.

Élevé (7,0–8,9)

Vulnérabilités à fort impact prioritaires pour une résolution rapide.

Critique (9,0–10,0)

Correction immédiate avec publication urgente de correctifs.

6. Avis

Principes de divulgation coordonnée

LuxpowerTek adhère à une maladies cardiovasculaires(Divulgation coordonnée de la vulnérabilité) modèle permettant de garantir que les vulnérabilités ne sont pas divulguées publiquement avant la publication d'un correctif.

Il est demandé aux chercheurs de fournir une fenêtre de correction raisonnable, généralement 90 jours, pour faciliter une résolution rapide.

Exemption légale

À condition que les tests de vulnérabilité et la divulgation soient effectués conformément à cette politique, LuxpowerTek n'engagera aucune action en justice contre les chercheurs et considérera ces activités comme recherche de sécurité de bonne foi.

Clause de non-responsabilité

Cette politique peut être mise à jourd pour refléter les évolutions du secteur et les exigences légales. LuxpowerTek décline toute responsabilité quant aux pertes directes ou indirectes résultant de la divulgation d'une vulnérabilité ou de retards dans sa correction.